You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1582

[Generic/Safari] Schwachstellen in Apples Webbrowser Safari
(2009-07-09 08:10:40.296752+00) Druckversion

Quelle: http://support.apple.com/kb/HT3666

Die neue Version 4.0.2 des Browsers Safari behebt zwei Schwachstellen, die von einem Angreifer zur Ausführung beliebigen Programmcodes auf dem beherbergenden System bzw. zu einem cross site scripting ausgenutzt werden können.

Inhalt

Zusammenfassung

  • CVE-2009-1724:
    Betroffen: Safari 4.0 und früher
    Nicht betroffen: Safari 4.0.2
    Plattform: Mac OS X 10.4, 10.5, Microsoft Windows XP, Vista
    Einfallstor: HTML-Code
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: cross site scripting
    Typ: design flaw
    Gefahrenpotential: mittel
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-1724
  • CVE-2009-1725:
    CVE-2009-1725
    Betroffen: Safari 4.0 und früher
    Nicht betroffen: Safari 4.0.2
    Plattform: Mac OS X 10.4, 10.5, Microsoft Windows XP, Vista
    Einfallstor: HTML-Code
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID:

Betroffene Systeme

  • CVE-2009-1724:
    Apple Safari 4.0 und frühere Versionen
  • CVE-2009-1725:
    Apple Safari 4.0 und frühere Versionen

Nicht betroffene Systeme

  • CVE-2009-1724:
    Apple Safari 4.0.2
  • CVE-2009-1725:
    Apple Safari 4.0.2

Plattform

  • CVE-2009-1724:
    • Apple Mac OS X 10.4
    • Apple Mac OS X 10.5
    • Microsoft Windows XP
    • Microsoft Windows Vista
  • CVE-2009-1725:
    • Apple Mac OS X 10.4
    • Apple Mac OS X 10.5
    • Microsoft Windows XP
    • Microsoft Windows Vista

Einfallstor

  • CVE-2009-1724:
    HTML-Code, z.B. über eine Webseite
  • CVE-2009-1725:
    HTML-Code, z.B. über eine Webseite

Angriffsvoraussetzung

  • CVE-2009-1724:
    Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite besuchen oder eine entsprechende HTML-Datei öffnen
    (user interaction)
  • CVE-2009-1725:
    Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite besuchen oder eine entsprechende HTML-Datei öffnen
    (user interaction)

Angriffsvektorklasse

  • CVE-2009-1724:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-1725:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2009-1724:
    Ausführung beliebigen Skriptcodes im Kontext einer anderen Webseite
    (cross site scripting)
  • CVE-2009-1725:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Safari-Prozesses
    (user compromise)

Typ der Verwundbarkeit

  • CVE-2009-1724:
    Entwurfsfehler
    (design flaw)
  • CVE-2009-1725:
    Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • CVE-2009-1724:
    mittel
  • CVE-2009-1725:
    hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2009-1724:
    Eine cross site scripting Schwachstelle im Webbrowser Safari kann von einem Angreifer dazu ausgenutzt werden, beliebigen Skriptcode im Kontext einer anderen, ggf. als vertrauenswürdig eingestuften, angezeigten Webseite auszuführen. Die Schwachstelle tritt in der Verwaltung von Objekt-Hierarchien entsprechend präparierter HTML-Seiten auf. Zur erfolgreichen Ausnutzung der Schwachstelle muss der Angreifer ein potentielles Opfer dazu veranlassen, eine entsprechende Seite zu öffnen, z.B. eine entsprechende Webseite oder HTML-E-Mail-Nachricht.
  • CVE-2009-1725:

    Eine Pufferüberlaufschwachstelle in der Verarbeitung bestimmter Zeichenkodierungen in HTML-Seiten des Browsers Safari kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der den Browser gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Zur erfolgreichen Ausnutzung der Schwachstelle muss der Angreifer ein potentielles Opfer dazu veranlassen, eine entsprechende Seite zu öffnen, z.B. eine entsprechende Webseite oder HTML-E-Mail-Nachricht.

Gegenmaßnahmen

  • CVE-2009-1724:
    Installation von Apple Safari 4.0.2
    • Apple Safari 4.0.2 für Mac OS X v10.5.7: Safari4.0.2Leo.dmg
    • Apple Safari 4.0.2 für Mac OS X v10.4.11: Safari4.0.2Ti.dmg
    • Apple Safari 4.0.2 für XP oder Vista: SafariSetup.exe
    • Apple Safari 4.0.2+Quicktime für XP oder Vista: SafariQuickTimeSetup.exe
  • CVE-2009-1725:
    Installation von Apple Safari 4.0.2
    • Apple Safari 4.0.2 für Mac OS X v10.5.7: Safari4.0.2Leo.dmg
    • Apple Safari 4.0.2 für Mac OS X v10.4.11: Safari4.0.2Ti.dmg
    • Apple Safari 4.0.2 für XP oder Vista: SafariSetup.exe
    • Apple Safari 4.0.2+Quicktime für XP oder Vista: SafariQuickTimeSetup.exe

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.